Groźny świat... kodów QR

opublikowano: 20 lipca 2022
Groźny świat... kodów QR
fot. materiały prasowe

Kody QR są dziś obecnie wszędzie. Ludzie używają ich do otwierania witryn internetowych, pobierania aplikacji, zbierania punktów lojalnościowych, dokonywania płatności czy przesyłania pieniędzy. Jest to bardzo wygodne rozwiązanie, ale jest pewien haczyk: cyberprzestępcy również próbują na tym zarobić i opracowali już wiele sztuczek opartych o korzystanie z kodów QR.

Kod QR przygotowany przez cyberprzestępców może prowadzić do strony phishingowej, która wygląda jak strona logowania do portalu społecznościowego lub systemu internetowego banku. W związku z tym zalecamy, aby zawsze sprawdzać łącza przed ich otwarciem. Kod QR nie daje takiej możliwości, a atakujący często używają skróconych łączy, co jeszcze bardziej utrudnia rozpoznanie fałszywego odnośnika, gdy smartfon prosi o potwierdzenie jego otwarcia. Podobne sztuczki mogą wprowadzać użytkowników w błąd, prowadząc do pobrania złośliwego oprogramowania zamiast zamierzonej aplikacji.

Ta mnogość możliwości sprawia, że kody QR doskonale nadają się do manipulacji i dystrybucji za pośrednictwem wielu kanałów — w tym mediów społecznościowych. Kody QR np. reklamowały pirackie oprogramowanie w celu zwabienia ludzi do pobrania złośliwego rozszerzenia Chrome zamiast oczekiwanego oprogramowania.

A sposobów na wykorzystanie kodów QR w oszustwach jest znacznie więcej.

Jak działają przestępcy?

Atakujący, którzy chcą wyrządzić szkodę za pomocą kodu QR, muszą najpierw przekonać użytkownika do jego zeskanowania.

Dominują tu dwie taktyki:
• Sztuczka z zamianą. Nierzadko atakujący wykorzystują pracę i reputację legalnie działających podmiotów, zastępując prawdziwy kod QR (np. na plakacie) swoim własnym.
• Sztuczka ze złośliwym źródłem. Cyberprzestępcy mogą umieścić kod QR z linkiem do swojego dzieła w wiadomości e-mail, na stronie internetowej, banerze, a nawet drukowanej reklamie. Celem takiego działania jest często skłonienie ofiar do pobrania złośliwej aplikacji. W wielu przypadkach obok kodu QR widnieją loga sklepów Google Play i App Store, które mają za zadanie zwiększyć wiarygodność kodów.

Możliwości są niemal nieograniczone. Kody QR często są też wykorzystywane na rachunkach za media, broszurach, tablicach informacyjnych w biurach, w prezentacjach PowerPoint i praktycznie wszędzie tam, gdzie można znaleźć przydatne instrukcje lub informacje.

Oszustwa z użyciem parkometrów

Modernizacja dosięga także starych, dobrych parkometrów przyjmujących gotówkę. Oprócz monet, do uiszczenia opłaty za parking często można także użyć aplikacji. To bardzo wygodne rozwiązanie — prawdopodobnie każdemu z nas zdarzyło się, że parkometr lub inny automat do sprzedaży bez wyraźnego powodu odrzucił wrzucone monety.

Zamiast tego możemy otworzyć aplikację, wprowadzić kod parkometru i zapłacić bezpośrednio za jej pomocą. Wygoda takiego rozwiązania idzie jednak w parze z pomysłowością przestępców. Na początku tego roku pojawiły się doniesienia o fałszywych naklejkach, które umieszczono na kilku parkometrach w różnych miastach w USA. Zostały one zaprojektowane tak, aby wyglądały, jakby można było po prostu zeskanować kod i w ten sposób uiścić opłatę za parkowanie — co byłoby jeszcze wygodniejsze. Problem w tym, że tego kodu QR nie przygotowały władze z myślą o udostępnieniu nowego sposobu płatności. W najgorszym przypadku możemy więc nie tylko stracić pieniądze, którymi chcieliśmy zapłacić za parking, ale także ponieść konsekwencje przekazania przestępcom danych dotyczących płatności, takich jak numer karty kredytowej. Jakby tego było mało, możemy też ponieść surowe konsekwencje braku „prawdziwej” opłaty za parkowanie.

Kody QR są powszechnie używane do wielu zastosowań, dlatego z pozoru ich użycie do obsługi płatności ma sens. Często jednak administracja publiczna NIE decyduje się na korzystanie z kodów QR właśnie z tego powodu: są one zbyt łatwe do podrobienia. To właśnie dlatego warto zawczasu poznać związane z nimi metody oszustw.

Z punktu widzenia przestępców jest to schemat o stosunkowo małym ryzyku. Wydrukowanie wysokiej jakości, profesjonalnie wyglądających naklejek jest łatwe i tanie, dlatego nakłady na materiały są minimalne. Cała potęga tkwi w liczbach. Po otrzymaniu pierwszej płatności za pomocą fałszywego kodu QR przestępcy praktycznie wychodzą już na zero, dlatego każda kolejna płatność to czysty zysk — zwłaszcza jeśli przy pobieraniu płatności można też wykraść dane karty kredytowej. Gdy wziąć pod uwagę skalę takiego działania — obejmującą np. kilkadziesiąt parkometrów w zamożnej dzielnicy — wszystko staje się jasne.

Obcy w potrzebie

W Holandii odnotowano przypadki nakłaniania nieznajomych na ulicy do skanowania kodów QR w celu przekazania niewielkiej kwoty pieniędzy. Takie prośby mogą dotyczyć opłaty za parkowanie, biletu komunikacji miejskiej lub czegokolwiek innego, co wiąże się z pomocą nieznajomemu w wyjściu z drobnej opresji. Wracając do naszego wcześniejszego przykładu: ktoś może wmawiać nam, że próbował opłacić parking za pomocą monet, ale parkometr je odrzucił. Z jakiegoś powodu taka osoba nie może dokonać płatności za pomocą oficjalnej aplikacji, dlatego proszą nieznajomego o pomoc, używając (zgadza się!) kodu QR, który pokazuje swojej ofierze i prosi o jego zeskanowanie. Kod ten rzekomo wysyła „osobie w potrzebie” niewielką sumę pieniędzy na opłacenie biletu parkingowego przez Internet (lub służy bezpośrednio do uiszczenia takiej opłaty), a niczego nieświadoma ofiara otrzymuje należną kwotę z powrotem w gotówce. Przestępca może sprawiać wrażenie, jakby się spieszył, np. na ważne spotkanie, mówiąc coś w rodzaju „Proszę, automat jest zepsuty i nie przyjmuje monet, a ja naprawdę muszę iść — czy mógłby pan zeskanować ten kod i pomóc mi zapłacić? Od razu oddam pieniądze w gotówce!”. W rzeczywistości jednak wprowadzone dane płatności trafiają w ręce przestępców.

Co możesz zrobić?

• Uważaj na łącza, które pojawiają się po zeskanowaniu kodu. Zachowaj czujność, jeśli link jest skrócony, ponieważ w przypadku kodów QR nie ma żadnego powodu, aby używać tej metody. Zamiast tego skorzystaj z wyszukiwarki lub użyj oficjalnego, sprawdzonego adresu internetowego.
• Przed zeskanowaniem kodu QR na plakacie lub tablicy przyjrzyj mu się dokładnie, aby upewnić się, że nie został naklejony na inny kod.
• Pamiętaj, że wszelkie napisy wydrukowane pod kodem QR lub obok niego nie są w żaden sposób związane z zawartością samego kodu.
• Skorzystaj z programu takiego jak QR Scanner firmy G DATA, który sprawdza kody QR pod kątem złośliwej zawartości i fałszywych witryn.
• Kody QR, podobnie jak kody kreskowe, mogą też zawierać cenne informacje, takie jak numery biletów elektronicznych, dlatego nigdy nie publikuj w mediach społecznościowych zdjęć jakichkolwiek osobistych dokumentów zawierających takie kody. Dotyczy to biletów na koncerty, kart pokładowych i innych. Jeśli koniecznie chcesz udostępnić zdjęcie, pamiętaj, aby przynajmniej częściowo zakryć kod — jakimś przedmiotem, który masz pod ręką albo choćby palcami.
• Świadomość to pierwszy krok na drodze do ochrony przed cyberprzestępcami. Jeśli ktoś podejdzie do Ciebie na ulicy i poprosi Cię o zeskanowanie kodu QR, będziesz już wiedzieć, że może to być niebezpieczne. Przestępcy bardzo dobrze potrafią wykorzystać Twoją uczynność i często zachowują się tak, jakby się spieszyli, nie dając Ci czasu do namysłu. Nie miej wyrzutów sumienia, jeśli nie udzielisz pomocy osobie, której zwyczajnie nie ufasz.
• Jeśli masz wątpliwości co do autentyczności kodu QR umieszczonego na ulotce, nie skanuj go. Mimo że będzie to nieco bardziej czasochłonne, zawsze możesz samodzielnie odwiedzić daną witrynę internetową, aby uzyskać więcej informacji. Będzie to najlepsze rozwiązanie, gdy nie masz pewności co do autentyczności kodu.

Kiedy należy powiadomić organy?

Jeśli w grę wchodzą pieniądze — Twoje lub Twojego banku — natychmiast zadzwoń do banku, aby tymczasowo zablokować swoje konto. Zawsze warto też zgłosić takie zdarzenie policji. Ustalenie tożsamości sprawców nie zawsze będzie łatwe, ponieważ przestępcy często robią wszystko, aby pozostać anonimowi. Zgłoszenie przestępstwa pozwoli jednak choćby na lepsze poznanie skali problemu.

Jeśli natrafisz na podejrzany kod w witrynie lub aplikacji, zawsze zgłoś konto, od którego pochodzi. Ułatwi to jego zablokowanie i zapobiegnie sytuacji, w której ktoś inny również padnie ofiarą ataku.

Kody QR powstały dla naszej wygody, jednak zawsze musimy dokładnie sprawdzać, czy powinniśmy ich użyć.

Źródło: materiały prasowe